Vulnerabilidad Zero-Day en Firewalls Fortinet

En el ámbito de la ciberseguridad, una reciente actividad maliciosa ha puesto en jaque a los dispositivos firewall Fortinet FortiGate con interfaces de administración expuestas en internet. Identificada como una vulnerabilidad de tipo Zero-Day, esta amenaza pone de manifiesto la importancia de mantener una configuración de seguridad robusta en las organizaciones.


Ataques Dirigidos a Firewalls con Interfaces Expuestas

Los investigadores han detectado actividades maliciosas que comenzaron a mediados de noviembre de 2024, donde actores desconocidos accedieron a interfaces de administración para alterar configuraciones y extraer credenciales utilizando la técnica DCSync. Estos ataques involucraron:

  • Creación de cuentas de administrador superusuario.
  • Autenticaciones SSL VPN mediante cuentas comprometidas.
  • Cambios en configuraciones clave de los firewalls.

El acceso inicial, aunque aún no confirmado, apunta con alta confianza al uso de una vulnerabilidad Zero-Day. Esto se infiere por la rapidez con la que varias organizaciones y versiones de firmware resultaron afectadas.


Fases del Ataque

La actividad avanzó en cuatro etapas bien definidas:

  1. Reconocimiento inicial y exploración de vulnerabilidades.
  2. Modificaciones en configuraciones y creación de cuentas.
  3. Configuración de portales SSL VPN y tunelado de accesos.
  4. Extracción de credenciales para movimiento lateral.

Cabe destacar el uso extensivo de la interfaz “jsconsole” desde un número limitado de direcciones IP sospechosas, lo que subraya la sofisticación y coordinación de los atacantes.


Confirmación de Fortinet: Vulnerabilidad Crítica

El 14 de enero de 2025, Fortinet publicó detalles sobre una vulnerabilidad de omisión de autenticación (CVE-2024-55591) con un puntaje CVSS de 9.6. Este fallo permite a atacantes remotos obtener privilegios de superadministrador mediante solicitudes manipuladas al módulo websocket de Node.js.

  • FortiOS 7.0.0 a 7.0.16 (actualizar a 7.0.17 o superior).
  • FortiProxy 7.0.0 a 7.0.19 (actualizar a 7.0.20 o superior).
  • FortiProxy 7.2.0 a 7.2.12 (actualizar a 7.2.13 o superior).

Fortinet también confirmó que esta vulnerabilidad ha sido utilizada para crear cuentas, modificar grupos de usuarios y alterar políticas de firewall.


Recomendaciones de Mitigación

Para reducir los riesgos asociados a esta vulnerabilidad, las organizaciones deben:

  1. Actualizar inmediatamente el firmware afectado a las versiones recomendadas por Fortinet.
  2. Evitar exponer las interfaces de administración de firewalls a internet.
  3. Implementar listas de control de acceso (ACL) para limitar conexiones a usuarios confiables.
  4. Auditar cuentas y configuraciones regularmente para detectar actividades sospechosas.

Impacto y Lecciones Aprendidas

Esta actividad no se limitó a sectores o tamaños específicos de organizaciones, lo que sugiere un enfoque oportunista por parte de los atacantes. El uso de eventos automatizados de inicio y cierre de sesión subraya la necesidad de fortalecer las medidas de seguridad en torno a dispositivos críticos.

En un panorama donde las vulnerabilidades Zero-Day representan una amenaza constante, es esencial priorizar actualizaciones, implementar buenas prácticas de configuración y fomentar una cultura de ciberseguridad proactiva.

 


 

Related Posts
Clear Filters

El equipo de Wazuh ha emitido una alerta de seguridad sobre una grave vulnerabilidad en su plataforma de seguridad. Identificada…

Fortinet ha alertado a sus clientes sobre una nueva vulnerabilidad zero-day que está siendo explotada activamente para comprometer firewalls FortiGate…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.